私の目から見た PacSec 2010 (1)

pacsec

なんで自分語りばかりのエントリに星がついたのか謎だが、今回からマトモな話題です。

AVTokyo 2010 (昼の部)

会場の場所がわからず、BS ホールではなく「本社まで」行ってしまった。往復 1.5km の無駄足だった。とりあえず遅刻しながらも昼の部会場まで到着。(白夜書房の親切な社員の方に道を教えてもらいました。) 席のとなりには [twitter:@yasulib] と [twitter:@ichirin2501] という三鷹*1メンバー。どうも両者とも CTF に夢中なようだ。*2
これに関しては、やはり CTF に関する話題が圧倒的に多かった。というよりかなりの豪華メンバー。個人的な CTF への興味は最近高まってきているが、これらのセッションは CTF に対してさらに興味を高めることになった。個人的にツボだったのは次の二箇所か。

  • (福森さん? の発表において) CTF 会場で頒布される USB メモリには autorun.inf とともにマルウェアたんまり。マヌケにも Windows をそのまま使うような阿呆は Wall of sheep に晒されても文句言えないということか。
  • (愛甲さんの発表において) CTF 1 位のまま終了かと思いきや、「1 時間延長します☺」

あとは休憩時間とかの合間に [twitter:@ichirin2501] に私が「三鷹」にたどりつく途中の方法を教えてみた。これは key が何かという部分を無視するだけでもここまで到達できるという例で、面白く見てもらえた。これはネットエージェントの問題 (第二問) なのだが…

  • 最初の 6 バイトの分布が明らかに偏っていて、しかも 3 バイト毎の構造が見えるので、UTF-8 文字列を疑う。
  • しかし、このままでは UTF-8 文字列としては解釈できない。*3
  • そこでこのバイト列の本質を隠しているのが xor 暗号であったと仮定して、少なくとも最初の 6 バイトに関しては 0x60〜0x6f というバイト*4で暗号化されたと考えれば、ピッタリ正規の UTF-8 文字列になる。*5
  • 同じように考えると、最後のほうは数字または ASCII 記号かもしれない。
  • しかし、"key" が何を示しているかがわからず、つい最近まで「三鷹」に辿りつけず。SHA-1 でググればよかったと後悔。

という具合。
あとは白夜書房の販売ブースで面白そうな本を見つけたのでこれも買ってみたり。
終了後、私はホテルにトランクいっぱいの荷物を下ろすために早めに離脱。直前に予約したホテル (御茶ノ水駅付近) はなかなか快適だった。

AVTokyo 2010 (本体)

実のところ、ロフトで開催される AVTokyo に参加するのは初めてだ。ロフトに来るのは初めてなのにどこかで見たと思ったら、多分ニコ生で放送されてた何かの番組がここ使ってたと思い出す。
セッションについてはこんな感じ。(AV! とかはきっと別の人がまとめてくれてるはず…!)

はせがわようすけ : "Internet Explorer exSpoilt Milk codes"

IE には未修正の脆弱性が(ry(ry というお話。このへんの話は "ブラックハットジャパンその後" で話しておられた話題とほぼ同じだったので割愛。ただ、質疑応答や余談がなかなか面白かった。MSFT の中の人に "なんでこんなに脆弱性を探してくれるんだw" と圧迫面接 (?) を受けたりとかしたらしい。

TAKESAKO : "no-alnum x86 programming"

x86 で任意コードの実行をたった 7 種の文字 (英数字以外でしかもエスケープされにくい文字のみ) で実行できたぜというお話。少ない文字でシェルコードを書くというのは "HACKING: 美しき策謀" (isbn:4873112303) にも載っていた話だが、これは英数字と一部記号で 10 種。対してこちらは printable な記号のみ 7 文字と優っている。質疑応答では長谷川氏と変態度 (JavaScript の場合任意コードを記号 6 種で書ける。) について競いあうなどかなり面白い話だった。

[twitter:@security4all] : "2010年のダメダメセキュリティ"

PacSec 2010 の発表者でもある [twitter:@security4all] こと Benny 氏だが、今回の話題は PacSec 2010 の発表とは全く異なる内容。セキュリティにおいても、特に人的ミスが原因の事例についてのおさらいというなかなか (バイナリ漬けの私にとっては) 新鮮な話題。例として、最近話題の Stuxnet は、工場などの制御ソフトウェアである WinCC に対して「デフォルトパスワード」でログインしようとするのだが… Siemens (WinCC の開発元) はこのデフォルトパスワードを「変えるな」と言っていたらしい。そのおかげで多数の WinCC ベースのシステムが危険に晒されうるという結果に。

ChakYi & Externalist : "Code Injection for Nintendo Wii"

この人達も PacSec 2010 の発表者。内容は PacSec 2010 における発表のダイジェスト版と言っていいかも。(ただし Externalist はこの時点で日本に来れなかった。PacSec 2010 には参加してらっしゃったと記憶している。)
海賊版を実行出来る状態というのは、「認証されていないすべて」を実行できる状態であるのと等価であるのと同時に、マルウェアを簡単にインストールできる状態にあるというのと等価である。彼らの発表は実践的なデモが多いのが特徴で、DS に Metasploit 移植版をインストールしてハッキングステーションにする、Wii海賊版にウイルスを混ぜ込み、ゲームがちゃんと動いているにも関わらずバックグラウンドでホームネットワークに侵入する*6などなど。
PSP 用ゲームソフトの海賊版に「実行したらシステムファイルを破壊して二度と起動しなくなる」罠が入ってた (しかもそれが主に Share ネットワークで氾濫してた) ことがあったが、これはゲームのバイナリそのもの (BOOT.BIN、中身は ELF ファイル) を破壊してそこにトロイの木馬を上書きしていた。それと比べると、彼らの発表内容はかなり進化している。
もちろんだが、これは DS や Wii の問題ではない。ネットワークエコシステムの問題でもあり、また全く対策ができないというわけでもない。
彼らの締めの言葉は、"海賊版の実行は自己責任で!"

wakatono : "Drive by Download攻撃定点観測"

私が知らない方…かと思いきや、去年 AVTokyo 2009 の発表後に質問をされてた方で、しかもその後の飲み会でも色々喋ってた方だったことを思い出した…というより、この後の飲み会で教えてもらった。Drive by Download 攻撃の具体的な内容について、特定の 1 サイトについて観測を行ったとのこと。印象的だったのは、

  • いつも攻撃された iframe が存在するわけではない (一時的に戻されているときがある。)
  • ダウンロード先のサイトは刻々と変化し、しかもドメインのトレンドも観測期間中に変化していった。

ということ。

あとはオフレコ。

面白い話題であったことだけは確かだが、バラすと大変なことになりそうなモノも含まれるので割愛。でも "愛奴&愛花 テヘッ☆" の発表はオフレコじゃなくても良いような気がするんだけどな〜。

AVTokyo その後飲み会

23〜「29時」という凄い日程の飲み会。去年の飲み会は割と早い段階で (少なくとも二次会は) 終わってたので、今回はかなり濃い内容について話せた。

  • 仮想マシンについて色々とか、
  • セキュキャン参加者のアウトプットとか、
  • 海外とのつながりについてとか、
  • うさぎについてとか、

とにかくたくさんの話題が出た。
飲み会の場所は新宿近く、対してホテルは御茶ノ水。タクシーで帰れない距離ではないが金がもったいないので、意地でも起きて始発まで間を持たせることにした。ノート PC で色々しながら喋っていたのだが、飲み会終了間際に―― AC アダプターが (ピンクがかった赤色の) 火花を吹いて壊れるという大変なことに。*7まぁそれはともかく無事に飲み会も終了したので、ホテルに帰った途端スイッチが切れたように眠るのであった。

AVTokyo〜PacSec

とにかく英語版スライドを完成させなければならない。日本語版も若干の修正を加える必要がある。というわけで、起きても気は抜けない。というか、締切りはとっくに過ぎている。(日本語と英語両方のスライドを出せる場合にはスライド提出期限はかなり遅めなのだが、それすら通り越してしまったのだ。) しかし AC アダプターは壊れてしまっているので、先に秋葉原 (御茶ノ水からであれば徒歩で行ける) でアダプターを買ってから作業をすることになった。そこから徹夜して、8 日の朝にスライドを両言語とも完成させることができた…が、なぜか正常に PDF 変換できない!具体的には、PrimoPDF を使って正常に PDF を吐き出すことができなかったのだ。家の同一環境 (と思い込んでいる) では吐き出せたのに。色々設定を変えてもうまくいかない。PowerPoint 付属の PDF 出力はフォントがラスタライズされた上にファイルサイズがメール添付できる限度を超えてしまう。Adobe Acrobat の体験版を急遽 (ホテルの遅いネットワークで数時間かけて) ダウンロードし、正常に PDF にできたのが昼過ぎ。
あとは私の泊まっていたホテルは外出して鍵を預けているかどうかでルームクリーニングをするか否か決めているらしく、私が部屋にいる限り部屋は掃除されない。というわけで通りすがりのスタッフの方に部屋のタオル交換だけをお願いした。ご迷惑をおかけした…。
翌日―― 11/9 がこのホテルのチェックアウト日なのだが、チェックアウトしてから PacSec スタッフ側で予約されているホテルのチェックインまでかなり時間がある。…しかし、ぶっちゃけどこに行くのにも苦労する。APEC による厳戒態勢のおかげで、駅のコインロッカーは軒並み封鎖されている。*8結局渋谷駅前で暇つぶしをするしかない。*9まぁ時間さえ潰せれば迷うことはそれ以外ほとんどなく、前回同じホテルを利用していただけにすんなりとホテルに入ることができた。

PacSec 直前の飲み会

この飲み会は PacSec の前日にあり、顔合わせをする良い機会となる。ホテルの待ち合わせ時点で少なくとも 5 人のスピーカーと顔を合わせ、かなり色々な話題について話した。*10去年から英語の「勉強」はほとんどしていないものの、話は聞けるようになったしある程度話せるようにもなった。(時々脳内ですごい誤訳をやらかすことがあるけど。) 横にいたのが POC*11 の韓国人スタッフである Kancho*12 氏。彼と話したことがすごく印象的であったのだが、なぜ「印象的」であったのかは PacSec の発表当日にわかることになる…。
自己紹介の過程で聞かれたのは、「あなた (私のこと) は個人で――ひとりでやっているのか?」ということだった。答えは Yes。企業で働いているわけではないし、チームメンバーと一緒に活動をしているわけでもないのだ。もちろん sutegoma2 のメンバーでもない。彼は言った。「誰かと一緒にやるべきだよ。なぜかというと…ひとりでやっているというのは…ある意味弱いってことだからね。」この言葉自体は当たり前に聞こえるのだが…話すときの言い方に、それ以外の何かが見え隠れしているような気がしたのだ。
途中で PacSec のスライド翻訳担当 (のひとり?) である櫻井さんも合流。聞いたところ、彼が翻訳に参加したのは、当時の PacSec におけるスライド翻訳の「酷さ」があったそうなのだ。当時の翻訳は主にプロの翻訳者に任せっきりだったそうなのだが、文脈を無視した翻訳 (例えば、そのままでないとマズい設定ファイルの内容を翻訳してしまったりとか。) などなどの問題があり、参加することになったのだとか。
その後も色々な話に華を咲かせた…。

次回予告

次は PacSec 1 日目について話せれば良いと思う。分量が足りなければ 2 日目の一部も追加する方向で。

*1:突然 xor 暗号や UTF-8 を暴きだしたりあるいは突然三鷹と言い出したり果ては実際に三鷹市に行ってしまう病気のこと。

*2:私の場合、30 分でバッテリー切れするノート PC では勝負にならないと判断した。

*3:ビットシーケンスが UTF-8 のものと「逆」になっている。

*4:ASCII では小文字の英字に相当する部分だ。

*5:2,3,5,6バイト目は 0x70〜0x7f で暗号化されていてもつじつまが合うため、ますます英小文字の疑いが濃厚に。

*6:そう、家庭のネットワークにつながっているということは、そこに対して攻撃も可能だということだ。ルーターなどのファイヤーウォールは既に (海賊版を自身が実行することによって) 突破されているわけだからね。

*7:非公式の充電器は怖い。とくに安い中国製は、と思い知らされました。

*8:その割にはゴミ箱は使えたりとか中途半端である。

*9:私の隣で待ち合わせをしていたであろうオタクっぽい人が職質を受けていた。会場から離れていてもこれだけの厳戒態勢なのだ。

*10:余談のひとつだと、「ハックを漢字であらわすと何になる?」と聞かれて、日本人スタッフのひとりである金森さんと一緒に悩んでみたりとか。

*11:Power of Community カンファレンス。韓国で開催される最大級のセキュリティ系イベント。彼らのウェブサイトは http://www.powerofcommunity.net/

*12:日本語だと凄い危ないという…w